Методика интеграции системы управления киберрисками в предпринимательских структурах

Основные масштабные изменения, происходящие в мировой экономике, связанны с высоким темпом развития научно-технологического прогресса, спровоцированные новой четвертой промышленной революцией. Технологии, обеспечивающие четвертую промышленную революцию [1; 5], влияют на форму и качество продуктов и услуг, формируют поведение потребителей, создают новые модели роста коммерческих компаний. Искусственный интеллект – одна из технологий, относящаяся к цифровой промышленной революции [8; 9], – по оценке Глобального института McKinsey, позволит к 2030 г. создать экономический эффект для мировой экономики в размере 13 трлн долларов в год [2]. По оценке того же института, в течение 20 лет 50% операций в мире будут автоматизированы. Глобальные технологические преобразования цифровой революции не только приведут к автоматизации бизнес-процессов, повышая производительность труда [4] (ежегодный темп роста производительности труда составит 2,3% в течение 2025–2030 гг. по данным консалтинговой аудиторской кампании Deloitte) [3], но и будут сопровождаться новыми рисками, связанными с этими изменениями [6] («кибератаки», «кража данных»). По данным отчета Всемирного экономического форума «Глобальные риски» WEF (World Economic Forum) за 2019 г., экономический ущерб от киберпреступности к 2020 г. достигнет 3 трлн долларов. В 2017 г. убытки российских компаний из-за кибератак составили 116 млрд руб. Наиболее распространенные последствия киберпреступлений представлены на рисунке 1. Среди распространенных последствий киберпреступлений лидируют: нарушение бизнес-процессов операций (68%), ущербы для репутации (58%), финансовые убытки (45%).

Рис. 1. Наиболее распространенные последствия киберпреступлений, %

82 в ыпуск 2/2020

Предпринимательским структурам следует активно отслеживать угрозы и обеспечивать устойчивость бизнеса. Для этого необходимо интегрировать систему управления рисками в систему управления коммерческих организаций.

Риски, с которыми сталкивается предприятие в цифровой области, должны быть проанализированы и классифицированы в рамках системы киберрисков. Как только киберриски будут более четко пониматься как бизнес-риски, возникающие в цифровой области, организация будет правильно ориентирована на то, чтобы приступить к реализации подхода, основанного на оценке риска.

Интеграция управления киберрисками состоит из 4 основных мероприятий (рис. 2).

Рис. 2. Интеграция управления киберрисками

Блок I этого методического обеспечения содержит методику оценки воздействия на бизнес киберугроз; включает аудит ИТ-систем. Первый блок начинается с анализа ключевых бизнес-процессов, выбора мероприятий по воздействию на них с целью выявления рисков следующей группы – персонала, помещений, поставщиков, данных.

Блок II содержит разработку стратегии реагирования на риски. В зависимости от выявленной уязвимости, которая создает угрозу, необходимо сопоставить меры и средства, направленные на ее устранение.

Блок III содержит процесс разработки плана по реализации стратегии. Применение мер и средств, направленных на парирование угрозы, связано с дополнительными затратами. Выбор одного из альтернативных решений должен быть обоснован с учетом затрат и возможных потерь в случае реализации угрозы.

Блок IV этого методического обеспечения содержит процесс сопровождения и поддержки интеграции в ключевые бизнес-процессы. Внедрение выбранного решения по противодействию киберугрозам не окончательный шаг, и необходимо контролировать его эффективность и оперативно реагировать на происходящие изменения. Система должна поддерживаться в актуальном состоянии, чтобы быть способной противостоять вновь появляющимся угрозам.

Объединив данные четырех блоков, получим комплексное методическое обеспечение, необходимое для противодействия киберугрозам. Наиболее важным является блок III, так как он связан с обоснованием выбора решения. Предлагается следующая постановка задачи.

Эсаулов К.А. и др. Методика интеграции системы управления киберрисками...    83

Пусть дан набор альтернативных решений до интеграции управления рисками в систему управления организации:

Y = { У1, У 2, У 3, •••> yN }, где Y – набор альтернативных решений, состоящий из y1,y2,y3,…,yN; N – количество альтернативных решений.

Последствия ошибки в принятии решения могут быть оценены величиной ( C ), выраженной в стоимостном отношении в виде суммы стоимостей прямого ( C _{пр. ущ}) и косвенного ущерба ( C    ):

косв. ущ пр. ущ      косв. ущ.

Вероятность ошибки характеризуется величиной, состоящей из вероятностей неверных действий, приводящих к общей ошибке:

Q0 (q10 , q20 , ' ”, qN0 ) = 1 - P0 , где Q0 – вероятность ошибки; q10, q20, …, qN0 – набор неверных действий, приводящих к Q0; P0 – вероятность безошибочной работы организации.

• ущ 0 пр. ущ косв. ущ .

Для каждой бизнес-цели и реализации соответствующего решения из набора { У 1 , У 2 , У 3 , — , y N } существует риск, т.е. { r 1 , ^r 2 , ^r 3 , ^ ^,r N } .

Составим для такого набора профиль риска (рис. 3).

Риск

Кривая риска

Эффективность

Рис. 3. Профиль риска (условное изображение)

Интеграция алгоритма по управлению риском значительно снизит вероятность ошибки в принятии решения. Это может быть реализовано посредством следующих мероприятий:

• •    оценка воздействия на бизнес киберугроз, аудит ИТ-систем – X ₁;

• •    разработка плана по реализации стратегии – X ₂;

• •    интеграция в ключевые бизнес-процессы – X ₃;

• •    сопровождение поддержка и процедуры – X ₄ .

84 в ыпуск 2/2020

Управленческое решение будет состоять в векторе X :

X = ( X VX2,X3,X 4 ), где X1, X2, X3, X4 – определенные величины, для которых существует набор значений.

Методом экспертных оценок для каждой из величин X ₁, X ₂, X ₃, X ₄ выбирается набор значений, т.е. для X ₁:

X1 g{ all, ai2, ..., ak 1 }, где a – один из вариантов внедрения управления рисками в стратегическое планирование; k1 – количество вариантов a для стратегического планирования.

Аналогично для X ₂, X ₃, X ₄:

X2 e{,

X 3 G{

X 4 e{

a 21 , a 22 , "  •, a 2 k ₂

a 31 , a 32 , •■•,a 3 k 3

a 41 , a 42 , "  •, a 4 k 4

};};}•

Таким образом, всего управленческих решений kобщ= k1 k2 k3 k4.

Для каждого из этих вариантов производим сужение набора Y (с помощью экспертной оценки исходя из состояния рынка отрасли, в которой компания ведет деятельность, размера компании, анализа финансово-хозяйственной деятельности):

x = ( a 1 i , a 2 j , a 3 i , a 4 z ) , i g { 1, — k 1 } , j g { 1, — k 2 } , l g { 1, — k 3 } , z { 1, — k 4 } •

Проведя мероприятия X , получим Y_ijlz , т.е. Y → Y_ijlz , где Y_ijlz – новый набор альтернативных решений при этом наборе интеграционных мероприятий по управлению рисками x = ( ^a 1 i , a 2 j , a 3 1 , a 4 z ) •

Каждая из альтернатив характеризуется затратами S_{i , y , l , z} :

^S i , y , l , z i ^{g{ 1}, " •, ^k 1 ^} , j ^{g{ 1}, "  • ^k 2 ^} , l ^{g{ 1}, "'^k 3 ^} , z ^{g{ 1}, "  • ^k 4 ^} ;

|^ x i , x j , x i , x z J G { a i 1 , a i 2, . „ , a ik i ; a y 1 , a y 2, . „ , a yk i ^; a z 1 , a z 2 , .. . , a zk i } V i , ^j , l , z — !••• n ;

n

S ( X )=ESjlz ( Xijlz )• i=1

Повышение вероятности p ( t ) безотказного функционирования (верного решения) осуществляется методом экспертной оценки путем выбора набора альтернатив x_i из { a i 1 ,a i 2 , "- a ik , } , x y из { a y 1 ,a y 2 , ^ a yk , } , x z из { a z 1 , a z 2 , ^ a zk , } • КажДая из ^k yz альтеР натив характеризуется затратами S_iyz на ее осуществление. Требуется на множестве |^ x i x_y x_z ^| допустимых значений найти такое значение X, при котором ущерб минимален, а полученные затраты были меньше запланированных:

N

X = ^argmⁱⁿ⁽ C ущ ⁽ X )| S ⁽ X ) = У s ⁽ x ) < S зад .

• i ,    у , ^z = 1

Актуальная информация о киберрисках будет регулярно предоставляться руководству компании для принятия стратегически важных решений. Развитие процессов риск-ме-

Эсаулов К.А. и др. Методика интеграции системы управления киберрисками... 85 неджмента в кибербезопасности позволит предпринимательским структурам быть высокотехнологичными компаниями с быстрыми, удобными и безопасными сервисами, несмотря на растущий интерес со стороны киберпреступников [7]. Создание единой системы менеджмента киберрисков и их оценки будет способствовать в дальнейшем объединению усилий в борьбе с киберпреступностью.